Îro em ê dest bi fêrbûna navnîşa kontrola gihîştina ACL bikin, ev mijar dê 2 dersên vîdyoyê bigire. Em ê li veavakirina ACL-ya standard binêrin, û di dersa vîdyoya paşîn de ez ê li ser navnîşa dirêjkirî biaxivim.
Di vê dersê de em ê 3 mijaran vebêjin. Ya yekem ew e ku ACL çi ye, ya duyemîn ev e ku cûdahiya di navbera navnîşek gihîştina standard û dirêjkirî de çi ye, û di dawiya dersê de, wekî laboratuar, em ê li sazkirina ACL standard û çareserkirina pirsgirêkên mimkun binêrin.
Ji ber vê yekê ACL çi ye? Ger we qurs ji dersa vîdyoyê ya yekem de xwend, wê hingê tê bîra we ku me çawa pêwendiya di navbera cîhazên torê yên cihêreng de organîze kir.
Me di heman demê de rêça statîk li ser protokolên cihêreng lêkolîn kir da ku di organîzekirina danûstendinên di navbera cîhaz û toran de jêhatîbûn bistînin. Naha em gihîştine qonaxa fêrbûnê ku divê em ji ewlekirina kontrolkirina trafîkê bi fikar bin, ango nehiştina "mirovên xirab" an bikarhênerên nedestûr ji ketina torê. Mînakî, ev dibe ku mirovên ji beşa firotanê ya SALES-ê, ku di vê diagramê de tê xuyang kirin, eleqedar bike. Li vir em beşa darayî HESAB, beşa rêveberiyê MANAGEMENT û jûreya serverê jî nîşan didin.
Ji ber vê yekê, dibe ku beşa firotanê sed karmend hebin, û em naxwazin ku yek ji wan bi ser torê ve bigihîje odeya serverê. Ji bo rêveberê firotanê yê ku li ser komputerek Laptop2 dixebite îstîsnayek tête çêkirin - ew dikare bigihîje odeya serverê. Karmendek nû ya ku li ser Laptop3-ê dixebitîne pêdivî ye ku xwedan gihîştinek wusa nebe, ango ger seyrûsefera ji komputera wî bigihîje routerê R2, divê were avêtin.
Rola ACL ev e ku seyrûseferê li gorî pîvanên fîlterkirinê yên diyarkirî fîltre bike. Di nav wan de navnîşana IP-ya çavkaniyê, navnîşana IP-ya armancê, protokol, hejmara port û pîvanên din hene, bi saya wan hûn dikarin seyrûseferê nas bikin û bi wê re hin çalakiyan bikin.
Ji ber vê yekê, ACL mekanîzmayek fîlterkirina qata 3 ya modela OSI ye. Ev tê wê wateyê ku ev mekanîzma di routeran de tê bikar anîn. Pîvana sereke ji bo fîlterkirin, nasîna herika daneyê ye. Mînakî, heke em dixwazin zilamê ku bi komputera Laptop3-ê ve tê de negihîje serverê asteng bikin, berî her tiştî divê em seyrûsefera wî nas bikin. Ev seyrûsefer ber bi Laptop-Switch2-R2-R1-Switch1-Server1 ve di nav navberên têkildar ên cîhazên torê de dimeşe, di heman demê de pêwendiya G0/0 ya routeran bi wê re tune.
Ji bo naskirina trafîkê, divê em riya wê nas bikin. Piştî vê yekê, em dikarin biryar bidin ku em bi rastî hewce ne ku parzûnê saz bikin. Ji fîlteran bixwe xem nekin, em ê di dersa pêş de li ser wan bipeyivin, ji ber vê yekê em hewce ne ku em prensîba ku divê parzûn li ser kîjan navberê were sepandin fam bikin.
Ger hûn li rêwerek mêze bikin, hûn dikarin bibînin ku her gava ku seyrûsefer diherike, navgînek heye ku tê de herikîna daneyê tê, û navberek ku bi navgîniya vê herikînê derdikeve heye.
Bi rastî 3 navber hene: pêwendiya têketinê, pêwendiya derketinê û pêwendiya xweya routerê. Tenê ji bîr mekin ku fîlterkirin tenê dikare li ser pêwendiya ketin an derketinê were sepandin.
Prensîba operasyona ACL dişibe derbasbûna bûyerek ku tenê ji hêla wan mêvanên ku navê wan di navnîşa kesên vexwendî de ye beşdar bibin. ACL navnîşek pîvanên kalîteyê ye ku ji bo naskirina seyrûseferê têne bikar anîn. Mînakî, ev navnîş destnîşan dike ku hemî seyrûsefer ji navnîşana IP-ya 192.168.1.10 destûr tê dayîn, û seyrûsefera ji hemî navnîşanên din têne red kirin. Wekî ku min got, ev lîste dikare hem li ser pêwendiya têketinê û hem jî ya derketinê were sepandin.
2 celeb ACL hene: standard û dirêjkirî. ACL-ya standard ji 1 heta 99 an jî ji 1300 heta 1999 nasnameyek heye. Ev bi tenê navên navnîşan in ku her ku jimare zêde dibe li ser hev tu avantajên wan tune ne. Ji bilî hejmarê, hûn dikarin navê xwe li ACL-ê bidin. ACL-yên dirêjkirî ji 100 heta 199 an 2000 heya 2699 têne hejmartin û dibe ku navek jî hebe.
Di ACL standard de, dabeşkirin li ser bingeha navnîşana IP-ya çavkaniyê ya trafîkê ye. Ji ber vê yekê, dema ku hûn navnîşek wusa bikar tînin, hûn nekarin seyrûsefera ku ji her çavkaniyekê ve hatî rêve kirin sînordar bikin, hûn tenê dikarin seyrûsefera ku ji cîhazek derdikeve asteng bikin.
ACL-ya dirêjkirî seyrûseferê li gorî navnîşana IP-ya çavkaniyê, navnîşana IP-ya meqsedê, protokola hatî bikar anîn, û hejmara portê dabeş dike. Mînakî, hûn dikarin tenê seyrûsefera FTP, an tenê seyrûsefera HTTP-ê asteng bikin. Îro em ê li ACL-ya standard binêrin, û em ê dersa vîdyoyê ya din ji navnîşên dirêjkirî re veqetînin.
Wekî ku min got, ACL navnîşek şertan e. Piştî ku hûn vê navnîşê li ser navbeynkariya hatinî an derketinê ya routerê bicîh bikin, router seyrûsefera li hember vê navnîşê kontrol dike, û heke ew şertên ku di navnîşê de hatine destnîşan kirin bicîh bîne, ew biryar dide ka destûrê bide an redkirina vê trafîkê. Mirov bi gelemperî dijwar e ku meriv navbeynkariya ketin û derketinê ya router diyar bike, her çend li vir tiştek tevlihev tune. Gava ku em li ser navbeynkarek ketinê diaxivin, ev tê vê wateyê ku tenê seyrûsefera hatinê dê li ser vê benderê were kontrol kirin, û router dê li ser seyrûsefera derketinê sînordar neke. Bi vî rengî, heke em behsa navbeynkarek derketinê dikin, ev tê vê wateyê ku hemî qaîdeyên dê tenê li ser seyrûsefera derketinê bicîh bibin, dema ku seyrûsefera hatina li ser vê portê dê bê sînor were pejirandin. Mînakî, heke router 2 port hene: f0/0 û f0/1, wê hingê ACL dê tenê li ser seyrûsefera ku têkevin navbeynkariya f0/0, an tenê li trafîka ku ji navbeynkariya f0/1 ve tê were sepandin. Trafîka ketin an derketina navbera f0/1 dê ji navnîşê neyê bandor kirin.
Ji ber vê yekê, ji hêla rêwerziya têketinê an derketinê ya navberê ve tevlihev nebin, ew bi rêça seyrûsefera taybetî ve girêdayî ye. Ji ber vê yekê, piştî ku router seyrûsefera lihevhatina şert û mercên ACL-ê kontrol kir, ew dikare tenê du biryaran bide: destûr bide seyrûseferê an red bike. Mînakî, hûn dikarin rê bidin seyrûsefera ji bo 180.160.1.30 û seyrûsefera ji bo 192.168.1.10 red bikin. Her lîsteyek dikare çend şertan bigire, lê her yek ji van şertan divê destûr bide an înkar bike.
Ka em bibêjin lîsteyek me heye:
_______ qedexe bike
Destûr bide ________
Destûr bide ________
_________ qedexe bike.
Pêşîn, router dê seyrûseferê kontrol bike da ku bibîne ka ew bi şerta yekem re têkildar e; heke ew li hev neke, ew ê rewşa duyemîn kontrol bike. Ger seyrûsefer bi şerta sêyemîn re têkildar be, router dê kontrolê rawestîne û wê bi şertên mayî yên navnîşê re berhev neke. Ew ê çalakiya "destûr" bike û biçe kontrolkirina beşa din a trafîkê.
Ger we ji bo tu pakêtek rêgezek saz nekiriye û seyrûsefer bêyî ku tu şert û mercan têk bide di nav hemî rêzikên navnîşê re derbas dibe, ew tê hilweşandin, ji ber ku her navnîşek ACL-ê bi xwerû bi fermana înkarkirinê bi dawî dibe - ango, avêtin. tu pakêtek, nakeve bin tu qaîdeyan. Ger di lîsteyê de bi kêmanî yek qaîdeyek hebe ev şert dikeve meriyetê, wekî din bandorek wê tune. Lê heke di rêza yekem de 192.168.1.30 redkirina têketinê hebe û lîste êdî ti mercan nehewîne, wê hingê divê di dawiyê de destûrek fermanî hebe, ango destûr bide her seyrûseferê ji bilî ya ku ji hêla qaîdeyê ve hatî qedexe kirin. Pêdivî ye ku hûn vê yekê bihesibînin da ku dema mîhengkirina ACL ji xeletiyan dûr bikevin.
Ez dixwazim ku hûn qaîdeya bingehîn a çêkirina navnîşek ASL-ê bi bîr bînin: ASL-ya standard bi qasî ku pêkan nêzî meqsedê, ango ji wergirê seyrûseferê re bihêlin, û ASL-ya dirêjkirî bi qasî ku mimkun dibe nêzî çavkaniyê bi cîh bikin, ango, ji şanderê trafîkê re. Vana pêşnîyarên Cisco ne, lê di pratîkê de rewş hene ku bêtir watedar e ku meriv ACL-ya standard nêzî çavkaniya seyrûseferê bi cîh bike. Lê heke hûn di dema azmûnê de rastî pirsek di derheqê qaîdeyên danîna ACL-ê de werin, pêşnîyarên Cisco bişopînin û bêhemdî bersiv bidin: standard nêzîkê meqsedê ye, dirêjkirî nêzîkê çavkanî ye.
Naha em li hevoksaziya ACL-ya standard binêrin. Di moda veavakirina gerdûnî ya routerê de du celeb hevoksaziya fermanê hene: hevoksaziya klasîk û hevoksaziya nûjen.
Cureya fermana klasîk navnîşa gihîştinê ye <hejmara ACL> <nekirin/destûr> <krîter>. Ger hûn <hejmara ACL> ji 1 heta 99 destnîşan bikin, cîhaz dê bixweber fêm bike ku ev ACL standard e, û heke ew ji 100 heya 199 be, wê hingê ew yek dirêjkirî ye. Ji ber ku di dersa îro de em li navnîşek standard dinihêrin, em dikarin her hejmarê ji 1 heta 99 bikar bînin. Dûv re em çalakiya ku pêdivî ye ku were sepandin destnîşan dikin heke pîvan bi pîvana jêrîn re hevaheng bikin - destûr bide an seyrûseferê red bike. Em ê paşê pîvanê bifikirin, ji ber ku ew di hevoksaziya nûjen de jî tê bikar anîn.
Cûreya fermana nûjen di moda veavakirina gerdûnî ya Rx(config) de jî tê bikar anîn û bi vî rengî xuya dike: standard-lîsteya gihîştina ip <hejmara/navê ACL>. Li vir hûn dikarin hejmarek ji 1 heta 99 an jî navê navnîşa ACL bikar bînin, mînakî, ACL_Networking. Ev ferman yekser pergalê dixe moda jêrfermandariya moda standard Rx (config-std-nacl), li wir divê hûn têkevin <inkarkirin/çalakkirin> <krîteran>. Tîmên nûjen li gorî ya klasîk xwedî avantajên zêdetir in.
Di navnîşek klasîk de, heke hûn navnîşa gihîştinê 10 binivîsin ku ______ red dikin, wê hingê fermana paşîn a bi heman rengî ji bo pîvanek din binivîsin û bi 100 fermanên weha re binivîsin, wê hingê ji bo ku hûn yek ji fermanên hatine nivîsandin biguhezînin hûn hewce ne ku jêbirin. tevahiya navnîşa-lîsteya gihîştinê 10 bi fermana navnîşa-destûra 10-ê tune. Ev ê hemî 100 fermanan jê bibe ji ber ku di vê navnîşê de rê tune ku meriv fermanek kesane biguherîne.
Di hevoksaziya nûjen de, ferman di du rêzan de tê dabeş kirin, ya yekem jimara navnîşê vedigire. Bifikirin ku heke we navnîşek standarda navnîşa gihîştina 10 ________ red dike, standarda navnîşa gihîştinê 20 ________ û hwd. .
Wekî din, hûn dikarin rêzên standard 20-lîsteya gihîştinê jêbikin û wan bi parametreyên cihêreng di navbera rêzên standard-lîsteya gihîştinê 10 û rêzikên standard-lîsteya gihîştinê de ji nû ve binivîsin. Bi vî rengî, awayên cûrbecûr hene ku meriv hevoksaziya ACL-ya nûjen biguherîne.
Dema ku hûn ACL-an diafirînin divê hûn pir baldar bin. Wekî ku hûn dizanin, navnîşan ji serî heta binî têne xwendin. Ger hûn xêzek li jorê bi cîh bikin ku destûrê dide seyrûseferek ji mêvandarek taybetî, wê hingê hûn dikarin li jêr rêzek bicîh bikin ku seyrûsefera ji tevaya tora ku ev mêvandar beşek jê ye qedexe dike, û her du şert jî dê bêne kontrol kirin - seyrûsefera mêvandarek taybetî dê destûr bê dayîn, û seyrûsefera ji hemî mêvandarên din dê ev tora were asteng kirin. Ji ber vê yekê, her gav navnîşên taybetî li serê navnîşê û yên gelemperî li jêr bixin.
Ji ber vê yekê, piştî ku we ACL-ya klasîk an nûjen çêkir, divê hûn wê bicîh bikin. Ji bo vê yekê, hûn hewce ne ku biçin mîhengên navbeynek taybetî, mînakî, f0/0 bi karanîna navbeynkariya fermanê <type û slot>, biçin moda jêrfermandariya navbeynkar û koma gihîştina ip-ya fermanê binivîsin <hejmara ACL/ nav> . Ji kerema xwe cudahiyê bala xwe bidin: dema berhevkirina lîsteyek, navnîşek gihîştinê tê bikar anîn, û dema serîlêdana wê, grûpek gihîştinê tê bikar anîn. Pêdivî ye ku hûn diyar bikin ku ev navnîş dê li ser kîjan navbeynkar were sepandin - navbeynkariya hatî an pêwendiya derketinê. Ger navnîşek navek hebe, wek nimûne, Torgilok, heman nav di fermanê de tê dubare kirin ku navnîşê li ser vê navberê bicîh bike.
Naha werin em pirsgirêkek taybetî hildin û hewl bidin ku wê bi mînaka diagrama torê ya xwe bi karanîna Packet Tracer çareser bikin. Ji ber vê yekê, 4 torên me hene: beşa firotanê, beşa hesabkirinê, rêveberî û odeya serverê.
Karê Hejmar 1: Divê hemî seyrûsefera ku ji beşên firotanê û darayî berbi beşa rêveberiyê û odeya serverê ve tê rêve kirin were asteng kirin. Cihê astengkirinê navgîniya S0/1/0 ya routerê R2 ye. Pêşî divê em lîsteyek ku tê de navnîşên jêrîn pêk tê çêbikin:
Werin em ji navnîşê re bibêjin "Rêveberî û Ewlekariya Server ACL", bi kurtî wekî ACL Secure_Ma_And_Se. Li pey vê yekê seyrûsefera ji tora beşa darayî 192.168.1.128/26 qedexe dike, seyrûsefera ji tora beşa firotanê 192.168.1.0/25 qedexe dike, û rê dide her seyrûseferek din. Di dawiya navnîşê de tê destnîşan kirin ku ew ji bo pêwendiya derketinê ya S0/1/0 ya routerê R2 tê bikar anîn. Ger di dawiya navnîşê de têketinek Destûra me tune be, wê hingê hemî seyrûsefera din dê were asteng kirin ji ber ku ACL-ya xwerû her gav di dawiya navnîşê de wekî têketinek Deny Any tête danîn.
Ma ez dikarim vê ACL-ê li navbeynkariya G0/0 bicîh bikim? Bê guman, ez dikarim, lê di vê rewşê de tenê seyrûsefera ji beşa hesabkirinê dê were asteng kirin, û seyrûsefera beşa firotanê dê bi ti awayî sînordar nebe. Bi heman rengî, hûn dikarin ACL-ê li navgîniya G0/1 bicîh bikin, lê di vê rewşê de seyrûsefera beşa darayî nayê asteng kirin. Bê guman, em dikarin ji bo van navbeynkaran du navnîşên blokên cihêreng biafirînin, lê pir bikêrhatîtir e ku meriv wan di yek navnîşê de berhev bike û wê li navrûya derketinê ya routerê R2 an navbera têketina S0/1/0 ya routerê R1 bicîh bîne.
Her çend qaîdeyên Cisco diyar dikin ku divê ACL-ya standard bi qasî ku pêkan nêzikî mebestê bibe, ez ê wê nêzê çavkaniya seyrûseferê bi cih bikim ji ber ku ez dixwazim hemî seyrûsefera derketinê asteng bikim, û ev bêtir maqûl e ku meriv vê yekê nêzikî seyrûseferê bike. çavkanî da ku ev seyrûsefera torê di navbera du routeran de winda neke.
Min ji bîr kir ku ez li ser pîvanan ji we re bibêjim, ji ber vê yekê em zû vegerin. Hûn dikarin her yekê wekî pîvanek diyar bikin - di vê rewşê de, her seyrûseferek ji her cîhazê û her torê dê were red kirin an destûr. Her weha hûn dikarin mêvandarek bi nasnavê wê diyar bikin - di vê rewşê de, navnîş dê navnîşana IP-ya amûrek taybetî be. Di dawiyê de, hûn dikarin tevnek tevnek diyar bikin, mînakî, 192.168.1.10/24. Di vê rewşê de, /24 dê were wateya hebûna maskek subtorê ya 255.255.255.0, lê ne gengaz e ku meriv navnîşana IP-ya maskeya subnetê di ACL de diyar bike. Ji bo vê rewşê, ACL têgehek bi navê Wildcart Mask, an "maskeya berevajî" heye. Ji ber vê yekê divê hûn navnîşana IP-ê diyar bikin û maskê vegerînin. Maska berevajî bi vî rengî xuya dike: divê hûn maskeya jêrtorê ya rasterast ji maskeya jêrtorê ya giştî derxînin, ango, hejmara ku bi nirxa oktetê re di maskeya pêş de têkildar e ji 255 tê derxistin.
Ji ber vê yekê, divê hûn pîvana 192.168.1.10 0.0.0.255 wekî pîvana di ACL de bikar bînin.
Çawa dixebite? Ger di okteta maskeya vegerê de 0 hebe, pîvan tê hesibandin ku bi okteta têkildar a navnîşana IP-ya jêrtorê re têkildar be. Ger jimareyek di okteta paşmaskê de hebe, hevber nayê kontrol kirin. Ji ber vê yekê, ji bo tora 192.168.1.0 û maskek vegerê ya 0.0.0.255, hemî seyrûsefera ji navnîşanên ku sê octetên wan ên pêşîn bi 192.168.1 re wekhev in, bêyî ku nirxa okteta çaremîn hebe, dê li gorî nirxê okteta çaremîn were asteng kirin an destûr were girtin. çalakiya diyarkirî.
Bikaranîna maskek berevajî hêsan e, û em ê di vîdyoya paşîn de vegerin Maskek Wildcart da ku ez rave bikim ka meriv çawa bi wê re dixebite.
28:50 min
Spas ji bo ku hûn bi me re bimînin. Ma hûn ji gotarên me hez dikin? Ma hûn dixwazin naveroka balkêştir bibînin? Piştgiriya me bikin bi danîna fermanek an pêşniyarkirina hevalan, 30% erzanî ji bo bikarhênerên Habr li ser analogek bêhempa ya pêşkêşkerên asta têketinê, ku ji hêla me ve ji bo we hatî vedîtin: (bi RAID1 û RAID10, heta 24 core û heya 40 GB DDR4 peyda dibe).
Dell R730xd 2 car erzantir? Tenê li vir li Hollanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ji $99! Li ser bixwînin
Source: www.habr.com